[发明专利]一种组播方法、网络设备及系统

说明书

技术领域

本发明涉及通信领域，尤其涉及一种组播方法、网络设备及系统。

背景技术

随着互联网中流媒体、视频会议和视频点播等多媒体业务的发展，组播技术已成为宽带多媒体应用的关键技术，组播报文在网络中的传输越来越多。但是，目前组播网络的可管理、可运营特性却比较差，无法适应未来的网络建设需求。

当前组播网络中，一个合法的单播IP(网际协议)地址可以作为一个组播报文发送者，以一个组播地址为目的地址向组播网络发送组播报文。同时网络中的终端通过IGMP(Internet Group Management Protocol，国际互联网组管理协议)向组播网络声明其需要某个组播地址的组播报文，如果网络支持组播协议，则组播报文会通过组播协议指定的路径到达接收者。

上述组播报文发送者发送组播报文的方法，存在两个问题。第一，任何一个终端都可以通过IGMP向组播网络声明其需要某个组播地址的组播报文，即使该组播组的所有者并不希望自己的组播报文被没有经过授权的终端所接收；第二，如果一个网络终端设备存在恶意，以一个合法的单播IP地址为组播报文发送者地址，恶意向组播网络发送大量组播报文，将使组播网络传输大量的无意义的组播报文，从而大量占用网络资源，干扰组播系统的正常运行，严重时会使组播系统处于瘫痪状态。

为了解决上述第一个问题，IETF(The Internet Engineering TaskForce，互连网工程任务组)的MSEC(Multicast Security，组播安全)工作组提出了一种解决方法，主要是对每个加入到某个特定组的组成员，包括发送者和接收者，进行认证，判定组成员是否具有加入到该组的权限，如果具备加入到该组的权限，则在接入设备上创建组播树并通过GCKS(Group Controller and Key Server，组控制密钥服务器)给组成员下发一个密钥，之后发送者发送的该组的所有组播报文都是经过该密钥加密后通过组播树发送到其他的接收者中。采用上述处理方法，没有权限的终端不能通过认证，所以无法获得这个特定组的密钥，也就无法对这个特定组的经过加密的组播报文进行解密，从而可以有效地防止没有权限的终端获得某个特定组的组播报文。

但是上述处理方法仍然存在问题。目前的加密技术存在两种。一种是对称加密，也就是加密方和解密方拥有相同的密钥，加密方用该密钥进行正向加密，而解密方用该密钥进行逆向解密。这种加密方法的特点是运算量小，需要的资源少，运算速度快，但安全性不是太高，无法根据密钥来识别加密方的身份。对称加密的方法大量应用于普通报文的加密传输中。另一种是非对称加密，也就是加密方和解密方拥有不同的密钥，加密方拥有的密钥称之为公钥，解密方拥有的密钥称之为私钥，加密方用公钥加密，解密方用私钥解密。非对称加密方法的特点是运算量大，约为对称加密方法的300倍，需要大量的资源，运算速度慢，但是安全性高，可以根据密钥来识别加密方的身份，非对称加密方法主要应用于密钥协商过程中的加密和需要进行身份识别的加密过程。当只有两方用户参与通信时，可以通过对称加密方法来进行身份识别，例如，当A和B进行加密传输时，他们拥有一个只有A和B才知道的密钥KEY，A为发送者，B为接收者；如果A收到一个用KEY加密的报文，而且A知道这个报文不是自己发的，那么A就可以确定这个用KEY加密的报文是B发来的。但是，当有三方或者三方以上的用户参与通信时，对称加密方法将无法用于身份的识别，例如当A、B和C进行加密传输时，他们拥有一个只有他们三个才知道的密钥KEY，A为发送者，B、C为接收者；当A收到一个用KEY加密的报文时，而且A知道这个报文不是自己发的，那么A并不能判断出这个报文是B发来的还是C发来的，因为B、C都拥有这个密钥KEY。所以，如何在保证组播报文安全的前提下，利用最小的代价，譬如说，最好是对称加密方法，实现对发送者的识别就成了亟待解决的问题。